12月7日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

PayPay、加盟店情報など最大2,000万件が流出の可能性

PayPayは12月7日、第三者からの不正アクセスを受け、加盟店の情報が流出した可能性があることを明らかにした。

不正アクセスは12月1日に外部からの連絡で発覚。管理サーバーの「加盟店に関する営業情報」のアクセス履歴を調査したところ、11月28日にブラジルからの不正アクセスを確認。12月3日までにこれを遮断した。原因はアクセス権限の設定不備で、不備のあった期間は2020年10月18日~12月3日。流出した情報は最大20,076,016件、具体的には以下の通り。

  • 加盟店の店名 / 住所 / 連絡先 / 代表者名 / 代表者生年月日 / 契約日 / 売上振込先 / 営業対応履歴
  • 加盟店営業先の店名 / 住所 / 連絡先 / 代表者名 / 営業対応履歴
  • PayPay従業員の氏名 / 所属 / 役職 / 連絡先
  • PayPayのパートナー・代理店の社名 / 連絡先 / 担当者名 / 売上振込先
  • 加盟店向けアンケート回答者の氏名 / 電話番号 / メールアドレス

ユーザー情報は別サーバーで管理しているため影響はなく、現時点で悪用の事実はないとしている。今度は加盟店管理システムにおいて、アクセスモニタリングやシステム変更時の監視を強化し、再発防止に努めるとのこと。

EXILE TRIBE STATION ONLINE SHOPでクレジットカード情報流出

LDH JAPANは12月8日、同社が運営する「EXILE TRIBE STATION ONLINE SHOP」が不正アクセスを受けたことを明らかにした。これによりクレジットカード情報が流出している。

不正アクセスは、決済処理プログラムの改ざんによるもの。2020年10月15日にクレジットカード会社からの連絡を受け発覚。同日「EXILE TRIBE STATION ONLINE SHOP」の運営を停止し、調査を開始した。

調査の結果、2020年8月18日~2020年10月15日の期間に新規でクレジットカード情報を会員登録した人と、登録済みのクレジットカード番号を変更した人のクレジットカード情報が流出していた。一部の顧客については、クレジットカード情報が不正に利用された可能性もあるという。流出した情報の詳細は、クレジットカード名義人、クレジットカード番号、有効期限、セキュリティコード。漏洩件数は特定できていない。

同社はクレジットカード情報が流出した可能性のある顧客に対し、電子メールにて個別に連絡。クレジットカードの利用明細に不審な点がないか確認するよう呼びかけている。

サイトの再開については、決定しだい告知の予定。なお、当該サイトはLDHグループのほかのサイトとは完全に分離しているため、ほかのグループサイトへの影響はない。

オリコカードを騙るフィッシングメール

2020年12月8日現在、オリコ(オリエントコーポレーション)を騙るフィッシングメールが拡散している。メールの件名は以下の通り。

  • <重要>【Oricoカード】ご利用確認のお願い
  • Oricoカードご利用確認のお願い
  • 【Oricoカード】重要なお知らせ

メールの本文では、使用しているカードが第三者による不正利用の可能性がある、などと記載。カードの使用を一時的に制限するので確認するようにと促してくる。リンク先はフィッシングサイトなので決してリンクをクリックしないこと。

このようなメールは、フィッシングである可能性が極めて高い。メールを見て不安を感じたら、公式サイトで情報を確認したり、ユーザーサポート窓口へ問い合わせたりしてほしい。仮にリンク先に飛んでしまっても、個人情報の入力や画像のアップロードは行わないことだ。また、類似のフィッシングサイト公開の可能性もあるので注意してほしい。

サッポロビール、キャンペーンサイトで他人の個人情報が閲覧可能な不具合

サッポロビールは12月4日、会員システムの不具合により、他人の個人情報が閲覧できる状況になっていたことを明らかにした。

不具合は、同社が12月4日から開始した「LINEポイント10ptがもれなく当たる! Wチャンスでお好きな商品が2ケース当たるキャンペーン!」で発生。キャンペーンに応募する際、新規会員登録した一部の顧客の個人情報が、同じく新規会員登録したほかの顧客に閲覧できるという状況が発生した。原因は、急激なアクセス集中によるものだという。不具合の発生期間は、12月4日19時00分から12月5日18時33分まで。直ちに同キャンペーンの新規応募を中止してシステム対応を行った。

閲覧可能だった個人情報は、サッポロ会員34名のメールアドレス、名前、性別、生年月日、住所、電話番号、アンケート内容(5問)で、新規会員登録を行った276名がこの情報を閲覧できる状況だった。なお、クレジットカード情報や銀行口座情報は含まれていない。

キャンペーンについては新規応募を中止するとともに、キャンペーン自体も終了。個人情報が流出した顧客に対しては、同社から連絡するとしている。

マイクロソフト、12月のセキュリティ更新プログラムをリリース

マイクロソフトは12月9日、12月のセキュリティ更新プログラムを公開した。対象ソフトウェアは以下の通り。

  • Microsoft Windows
  • Microsoft Edge(EdgeHTML-based)
  • Microsoft Edge for Android
  • ChakraCore
  • Microsoft Office、Microsoft Office Servers および Web Apps
  • Microsoft Windows Codecs Library
  • Microsoft Exchange Server
  • Azure DevOps
  • Microsoft Dynamics
  • Visual Studio
  • Azure SDK
  • Azure Sphere

脆弱性についてのセキュリティ更新プログラムは、緊急6件、重要4件。修正内容はリモートでのコード実行、なりすまし。ほかにも、新規のセキュリティアドバイザリ1件を更新、既存の脆弱性情報3件を更新している。

注意点としては、2020年11月にWindows Server向けに公開したKerberos KDCに対するセキュリティ更新プログラムについて。ドメインコントローラに適用後、Kerberos認証の問題を確認した。11月の定例外更新での問題を解消しているが、12月の月例更新プログラムにも累積的に含まれているとしている(適用にはESUが必要)。

ほかにも、2020年12月の定例リリースで公開したKerberosの脆弱性については、完全な保護はドメインコントローラへのセキュリティ更新プログラムを適用した上で、追加の手順が必要。また、Adobe Flash Playerのサポートが12月31日に終了することが告知されている。

ソリトンのファイル転送/共有サービス「FileZen」の脆弱性を公表

ソリトンは12月10日、Webブラウザを使ったファイル転送・共有サービス「FileZen」の脆弱性を公開した。対象のバージョンは以下の通り。

  • FileZen V3.0.0~V4.2.2

12月2日に発表した脆弱性の内容は未公表だったが、今回の発表でディレクトリトラバーサルと判明。今回の発表はその続報となる。第三者により、特定のディレクトリに任意のファイルのアップロードが可能になるというもの。細工済みのファイルをアップロードされてしまうと、任意のOSコマンド実行の可能性がある。

追加アップデートの提供により、脆弱性は解消可能。適用後のバージョンは、ST82モデルがV5.0.1、DX51およびST81モデルがV4.2.6となる。